基于Http类Api端口(WebPack)漏洞扫描工具--PackerFuzzer教程

最新推荐文章于 2025-11-14 16:01:33 发布
原创 最新推荐文章于 2025-11-14 16:01:33 发布 · 1.6k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文介绍了一款名为Packer-Fuzzer的工具,它能自动检测API漏洞,包括未授权访问等7种问题,并提供详细的安装步骤和解决1.0.0版本兼容性问题的方法。
部署运行你感兴趣的模型镜像

   该工具支持自动模糊提取对应目标站点的API以及API对应的参数内容,并支持对:未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测。在扫描结束之后,本工具还支持自动生成扫描报告,您可以选择便于分析的HTML版本以及较为正规的doc、pdf、txt版本。

下载地址:

https://github.com/rtcatc/Packer-Fuzzer

安装环境:

根据官方文档教程进行安装即可。

  1. 本工具使用Python3语言开发,在运行本工具之前请确保您装有Python3.X软件及pip3软件。若您未安装相关环境,可通过如下指引安装:Python3 环境搭建 | 菜鸟教程

    MacOS用户可使用如下命令快速安装:

    brew install python3 #会自动安装pip3

    Ubuntu用户可使用如下命令快速安装:

    sudo apt-get install -y python3 && sudo apt install -y python3-pip

    CentOS用户可使用如下命令快速安装:

    sudo yum -y install epel-release && sudo yum install python3 && yum install -y python3-setuptools && easy_install pip

  2. 本工具将会通过node_vm2运行原生NodeJS代码,故我们推荐您安装NodeJS环境(不推荐其他JS运行环境,可能会导致解析失败)。若您未安装相关环境,可通过如下指引安装:Node.js 安装配置 | 菜鸟教程

    MacOS用户可使用如下命令快速安装:

    brew install node

    Ubuntu用户可使用如下命令快速安装:

    sudo apt-get install nodejs && sudo apt-get install npm

    CentOS用户可使用如下命令快速安装:

    sudo yum -y install nodejs

  3. 请使用如下命令一键安装本工具所需要的Python运行库:

    pip3 install -r requirements.txt

注意:

当完完整整按照官方的教程配置好环境后,在进行启动时,会出现如下的问题:

出现上述情况的原因是:在1.0.0版本中存在兼容性问题

解决办法:

在命令框中输入以下命令,即可解决

pip3 install python-docx==0.8.11 

成功启动:

您可能感兴趣的与本文相关的镜像

Python3.10

Python3.10

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

Packer-Fuzzer
12-16
Packer-Fuzzer 是一个开源工具,专门用于处理被打包的JavaScript文件。它的工作原理是下载JS文件并使用正则表达式匹配其中的信息,从而提取出我们关心的内容。通过这种方式,即使是经过Webpack打包的文件,我们也可以获取到潜在的接口信息。具体的操作方法请参考之前的文章。
webpack-使用webpack-dev-server.rar
04-12
`webpack-dev-server` 是 Webpack 提供的一个本地开发服务器,它极大地提高了前端开发效率,因为它提供了实时重载(live reloading)和热模块替换(hot module replacement)等功能。 **实时重载(Live Reloading)...
一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具
wholeliubei的博客
07-05 1686
轻量级内网资产探测漏洞扫描工具,甜心宝贝是一款支持弱口令爆破的内网资产探测漏洞扫描工具,集成了Xray与Nuclei的Poc。
【亲测免费】 Packer Fuzzer 快速安全检测工具入门指南
最新发布
gitblog_00990的博客
11-14 1800
Packer Fuzzer 是一款专门针对由 JavaScript 模块打包器如 Webpack 构建的网站进行深度安全检测的扫描工具。它能够帮助安全研究人员和工程师高效识别网站中存在的 API 和相关的参数,进而进行漏洞扫描,包括但不限于未授权访问、敏感信息泄露、CORS、SQL 注入、水平越权、弱口令和任意文件上传等常见安全问题。 Packer Fuzzer 的主要特点包括: - 自动化检
一款API漏洞扫描工具
leah126的博客
01-06 1341
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
API接口安全测试方法大全(附一键化扫描工具
2302_76672693的博客
06-27 9013
API接口安全测试方法大全(附一键化扫描工具
使用webpack3.0配置webpack-dev-server教程
08-27
使用webpack3.0配置webpack-dev-server教程 本文主要介绍使用webpack3.0配置webpack-dev-server的教程,旨在帮助读者快速搭建一个小型的服务器。下面我们将详细介绍webpack-dev-server的配置和原理。 一、webpack-...
webpack-hmr-3-ways:设置Webpack热模块替换的三种方法:webpack-dev-server CLI,webpack-dev-server API以及使用webpack-hot-middleware进行表达
02-05
如果您正在使用grunt或的任务运行程序,则需要使用 。 或似地,如果您有自己的节点脚本来运行webpack ,则需要使用 。 如果您已经在网站上使用Express ,或者需要在开发中运行其他服务,则需要使用 。 关于...
基于 webpack 和 html-webpack-plugin 的插件,将 js_css 链接对应内容打入 html.
08-25
当我们谈论基于Webpack和html-webpack-plugin的插件来实现将js和css链接对应内容打入HTML时,我们指的是通过特定的插件配置,让html-webpack-plugin能够识别JavaScript和CSS文件,并在生成的HTML文件中自动添加相应...
webpack-sentry-plugin:Webpack插件,用于将源地图上传到Sentry
02-06
哨兵插件 一个webpack插件,用于将源地图上传到 。 当前版本2与webpack 4和5兼容,并且至少需要NodeJS 6。 如果您在Webpack 1、2或3上运行,请使用模块的专用版本1... var SentryPlugin = require ( 'webpack-sen
Packer-Fuzzer:Packer Fuzzer是一种快速高效的扫描程序,用于对由JavaScript模块捆绑器(例如Webpack)构建的网站进行安全检测
02-06
封隔器模糊器 一款针对Webpack等前端打包工具所构造的网站进行快速,高效安全检测的扫描工具 由Poc-Sir,KpLi0rn,Liucy,RachesseHS,Lupin-III荣誉出品组成 责‍:female_sign_selector:免责声明 由于传播,利用Packer Fuzzer工具(下简称本工具)提供的检测功能而造成的任何直接或间接的后果及损失,均由使用者本人负责,Packer Fuzzer开发团队(下简称本团队)不承担责任任何责任。 本工具会根据使用者检测结果自动生成扫描结果报告,本报告内容及其他衍生内容均不能代表本团队的立场及观点。 请在使用本工具时遵守使用者以及目标系统所在国当地的相关法律法规,一切未授权测试均
【渗透测试】Webpack源码泄露(js.map泄露)
网络安全从业者的学习笔记
07-10 5865
在Vue项目中使用Webpack时,如果未正确配置,会生成一个.map文件,它包含了原始JavaScript代码的映射信息。这个.map文件可以被工具用来还原Vue应用的源代码,从而可能导致敏感信息的泄露等风险
Packer-Fuzzer 开源项目教程
gitblog_00990的博客
11-14 969
Packer-Fuzzer 的目录结构如下: ``` . ├── doc # 文档目录 ├── ext # 扩展文件夹 ├── lib # 库文件夹 ├── logs # 日志文件夹 ├── reports # 报告生成目录 ├── tmp
Packer-Fuzzer的使用
m0_71366428的博客
12-18 5535
在平常渗透测试时经常会遇见使用Webpack打包的网站,打包器会将整站的APIAPI参数打包在一起供Web集中调用,这也便于我们快速发现网站的功能和API清单,但往往这些打包器所生成的JS文件数量异常之多并且总JS代码量异常庞大(多达上万行),这给我们的手工测试带来了极大的不便,Packer Fuzzer软件应运而生。
Dex文件格式扫描器:特征API的检测和扫描(小工具一枚)
Rorschach:Blog
03-13 3171
之前由于工作需求,会分析大量APP的某些特殊API,对特殊API分析每次都需要打开JEB->查找特定API->分析流程….无奈APP是无穷的,而精力是有限的。于是发挥了人最本能的天性——偷懒,既然想偷懒了,就让计算机帮助分析,于是写了个小工具来做上面的需求。其实不外乎就是对Dex文件格式的解析,然后根据API特征进行扫描,把调用的和方法输出,接下来就会针对输出的信息,在逐个分析利用。既然是解析刚
APIKit:一站式API发现、扫描与审计工具
gitblog_00560的博客
08-09 894
APIKit:一站式API发现、扫描与审计工具 项目地址:https://gitcode.com/gh_mirrors/api/APIKit 项目介绍 在数字化转型的浪潮中,API已成为企业间数据交互的桥梁。然而,随着API的广泛应用,其安全性问题也日益凸显。APIKit,作为APISecurity社区的旗舰开源项目,应运而生。它是一款基于BurpSuite的JavaAPI开发的插件,旨在为开发者...
API扫描工具的实现
Purse的博客
06-07 7620
公司的架构师开发了一套接口扫描工具,我想着,如果自己以后开公司了可能也用得着,所以研究了下,整理出了下面的开发思路和相关技术代码。 API扫描工具的主要开发思路如下: 1、定义接口上的注解; 2、引用注解 3、扫描注解 首先定义注解: 定义接口上的注解 package com.fs.comment; import java.la...
可对前端打包器所构建的网站进行一键扫描的Packer Fuzzer
m0_46699477的博客
12-10 4522
前言:Packer Fuzzer是一款对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具。当我们在Goby中遇到前端打包器所生成的站点时,联动Packer Fuzzer可以自动解析全部JS文件并提取该站点所有APIAPI参数,从而进行高效漏洞模糊检测。 0x001 最终效果 1.1 插件入口 安装完Packer Fuzzer Goby插件之后,可以在Web检测(Webfinder)的显示框内右侧看到一排“Packer Fuzzer”按钮: 若对应开发端口资产型为网页,也可以.
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值